ISMS-AC 認定認証業務用)
テュフ・ラインランド・ジャパン株式会社 (以下「TR Japan」 )による認証に関する業務条件
(ISMS-AC 認定認証業務用)
I. 認証に関する一般業務条件
1. 適用範囲
1.1 本認証に関する業務条件は、合意された認証業務及び、契約履行の範囲内で提供される付随業務及び、その他付随するあらゆる職務に適用される。
1.2 本認証契約業務条件は、弊社の「一般取引条件」に優先する。
1.3 申請者の一般業務条件は、例えば、申請者の購買条件などに該当する条項がある場合であっても、当該条項は適用されない、 またここに明示的にその適用を除外する。申請者の契約条件は、弊社によって、明示的に適用が除外されていなかったとしても、本契約条項の一部とはならない。
1.4 この業務条件のなかで、「認定機関」という用語は、承認機関ないし認可機関を含み、また、「認定規則」、「認定要求事項」及び「認定手順」という用語は、これらの機関の手順としてもまた準用される。
2. 業務範囲
2.1 業務範囲は、国別規格又は国際規格に基づき、製造業者及び役務提供業者のシステム 及び製品について審査及び認証を行うことである。業務範囲には、弊社が認定、許可、承認を受けている業務(認定認証)、 認定、許可、承認を受けていない業務(標準認証)が含まれ、第三者認証サービス(自社規格)も提供する。
2.2 合意された業務は、一般的に受入られた技術規定に従い、かつ契約締結時に適用される規則に基づいて提供される。書面による別段の合意のない限り、また特定の方法が強制力のある規則に基づいて必須とされない限り、弊社は、自己の合理的な裁量に基づき、審査の方法と形式に関する独自の判断をする権限を有する。
2.3 弊社は、契約上合意された規格、及び⁄又は、参照された規定や規則に基づいて、認定を受けた認証を行う。これには、特定の認証規格に関して一般的に適用される認定規格や認証規格、全ての該当するガイドライン及び管轄権のある認定機関によって規定された要求事項を含む。 認定要求事項に従い、より多くの審査員工数が 必要であると判明し、弊社がその費用負担をする責任を負わない場合、申請者は追加的費用を負担する。
規格認証は、個々の国別規格又は国際規格に基づいて実施される。 自社規格認証の認証手順は、弊社が別途制定した規定や規則に基づいて実施される。
2.4 認証が良好に完結した場合、本認証一般業務条件の第 3 項に基づき、適切な認証書が発行される。
2.5 申請者は異議申し立ての正当な理由を有し、かつ提出した場合、特定の審査員又は技術専門家の指名に対して異議を申し立てる権利を有する。
2.6 審査員が、テュフ・ラインランド・グループのxx従業員以外の審査員(外部審査員)である場合は、審査チームとして指名され、審査チームの一員になる前に、申請者の承認を得なければならない。外部審査員の審査チーム任命の通知を受け 1 週間以内に、申請者が外部審査員の使用に対して異議申し立てをしない場合、承認がなされたものとみなす。
2.7 認定分野における認証(即ち、認定機関の認定の下で行なう認証)の場合、申請者は認定機関の審査員、又は規格所有者の審査員が申請者の書類を確認し審査に立ち会うことを承諾する。
2.8 審査の進め方又は内容、又は認証プロセスに対する苦情及び異議申し立ての際には、申請者の承認を得た上で、運営委員会又は仲裁委員会を招集してもよい。
2.9 申請者は、認証結果に対して異議申し立てをする権利を持つ。
3. 認証書及び認証マークの使用権の範囲
3.1 合意された認証手順が問題なく完了した場合、 弊社は相当する認証書を申請者に対して発行する。認証書の有効期間は、契約書に定められる、又は定められていない場合には、認証に関する特別業務契約条件に定めるものとする。
3.2 上記 3.1 項に従い、認証書が発行された際には、申請者は
3.3 項から 3.15 項に従い、定められた認証期間において、簡潔かつ譲渡不能で、非独占的に、認証マークを使用する権利を付与されるものとする。これも文書や、パンフレット、広告資料といったコミュニケーション用媒体において、認証を示す参照として使用すること ができる。
3.3 弊社が発行した認証書及び認証マークの使用は、認証書に示される申請組織の適用範囲のみに限られる。適用範囲外で認証書及び認証マークを使用してはならない。
3.4 マネジメントシステム認証に関する認証マークは、申請組織の名称又は組織ロゴに直接関連付けてしか使用してはならない。認証マークを、申請者の製品に関連し、貼り付ける、又は使用することはできない。このことは製品梱包、同梱情報、試験報告書、校正記録、又は検査報告書に対しても同様に適用する。申請者が、認証を受けたマネジメントシステムに関する情報を、梱包物又は同梱物に表明する場合には、最低限下記を含めなくてはならない。
・ 申請者企業名、又は申請者のブランド及び企業名
・ 複合マネジメントシステムの場合は、個々のマネジメントシ
ステム 例:品質、環境及び適用規格例: ISO 9001:2015, ISO 14001:2015
・ 認証機関:TÜV Rheinland Japan Ltd.
指針:ISO17021-1:2015、8.3.3 項、製品梱包及び同梱情報に関する定義を考慮しなければならない。
3.5 申請者は、申請組織、又は申請組織の認証範囲が認証に基づくものであることを表明するためにのみ、認証書及び/又は認証マークを使用する。申請者は、認証が公的検査である、及び/又はシステム認証が製品試験の一種で ある、というような印象を与えないようにしなくてはならない。
3.6 申請者は、認証書認証xxx又は審査報告書を変更する権限を付与されていない。
3.7 申請者は、自社の広告及び同種のものにおいて認証は自発的なものであり、民法上の契約に基づき行われているということを示す責任を負う。
3.8 使用権は、申請者が有効な認証書を保持しない場合、特に認証書の有効期限が過ぎた、又は必要なサーベイランス審査が実施されていない場合には、失効するものとする。
3.9 認証書及び/又は認証マークを使用する申請者の権利は、上記 3.1 ないし 3.8 項の規定、又は本契約の他の条項に反して申請者が認証書及び/又は認証マークを使用した場合、解約通知を要せずに、ただちに失効するものとする。
3.10 認証書及び/又は認証マークを使用する申請者の権利は、通常の合意した期間の満了を以て、又は正当な理由に基づき例外的に直ちに終了する。
3.11 行政法規、又は裁判所により認証書の維持が認められない場合、使用権は自動的に失効する。
3.12 使用権の失効の際には、申請者は、遅滞なく弊社に認証書を返却する義務を負うものとする。
3.13 申請者が契約条件に違反した場合、弊社は損害の賠償を請求する権利を留保する。
3.14 認証により、TR Japan の名誉が傷つけられることがあってはならない。
3.15 申請者は、無権限でなされた、及び誤解を招くと弊社 がみなすおそれがある、認証に関する表明をしてはならない。
3.16 申請者が、認証の要求事項を一時的に満足することができないということが予見された場合、認証を一時的に停止することができる。認証の一時停止期間中、申請者は、広告において認証を利用してはならない。第 7 項に示されるとおり、認証組織の一覧には、その状況を更新し、「停止中」とされる。
3.17 合意された期間内に一時停止とされた原因が取り除かれた場合、認証が新たにされる。合意された期間内に、停止とされた原因が解決されない場合、認証は取り消されるものとする。
3.18 申請者は、取引上認証書をどのように使用したか記録を維持しなければならない。弊社は第三者からの情報も含み、認証書が規則に沿って使用されていることを、ランダムサンプリングにて監視する。
3.19 第三者が申請者の認証書を不適切に使用していることが判明した場合、申請者は直ちに弊社に通知をしなければならない。
3.20 申請者は認証文書を第三者に提供する場合は、完全な形又は認証規則に沿って提供する。
4. 認証審査における申請者の参加義務及び一般規則
4.1 申請者は、該当する規格に対する認証のために要求される情報を全て提供しなくてはならない。 情報提供は「審査御見積用質問書」、及び⁄又は「申請内容確認書(継続)」を提出する形で行うことができる。
4.2 申請者は、認証機関に対し、要求される文書全てを、しかるべきときに、審査に先立ち、無料で提出しなくてはならない。下記のものが特に、要求文書に含まれる。
- マネジメントシステム文書
- 規格要求事項との対比表
(組織のマネジメントシステム文書と規格要求事項との相互参照)
- 組織体制/組織図
- プロセス、その相互関係及び相互作用を示すもの-マネジメントシステムの管理文書一覧
- 公的及び法的要求の一覧
- 見積もりに記載されたその他文書
4.3 申請者は、審査チーム及び/又は審査員に対し、適用範囲に関連する記録全てを公開し、交替勤務も考慮に入れ、組織の関連部署に立ち入る権利を与えなくてはならない。
4.4 申請者は、審査員が契約上で合意された業務を実施するにあたり、それを支援するための 1 名又は数名の審査担当者を任命しなくてはならない。
4.5 認証書発行後、申請者は、契約期間を通じ、マネジメントシステム又は認証製品に著しく影響を与えるあらゆる変更について、特に下記の点について、通知する義務を負うものとする。
- 認証されたマネジメントシステムにおける変更
- 認証製品の設計又は仕様に関わる変更
- 交替勤務の実施又は部分変更も含めた、組織体制及び組織そのものの変更
本契約条件において、申請者はさらに下記の点について、伝達する義務を負うものとする。
-製品及びサービスの安全に影響を与える出来事
-市場監視及び政府の法執行支局により決定された法規要求の不履行
4.6 申請者は、外部企業によってなされたマネジメントシステムに関する苦情全て、及び認証範囲にある製品又はプロセスで、該当認証規格要求事項への適合性に関連する苦情全てを記録し、適切な是正処置を実施し、是正処置の実施を文書化し、要求があれば、審査中に審査員に提 示する義務を負うものとする。
4.7 申請者は該当する認証規格において定められる要求事項に関わる、すべての通信文や対策を、要求あり次第、審査中に審査員に提示する義務を負うものとする。
4.8 製品認証範囲内で、4.5 項に示される変更により、さらなる審査が避けがたいということを弊社が指摘した場合、安全であると弊社が知らせるまで、申請者は、変更が実施された後でも、製品認証範囲に該当するいかなる製品もリリースしてはならない。
4.9 製品認証が関わる際、申請者は、その製品が製品認証要求事項を満足しない場合、弊社に通知しなくてはならない。
4.10 申請者は、付随する変更の実施を含め、常に認証要求事項を満足する義務を負う。 申請者はまた基礎を成すマネジメントシステムを、認証の有効期間において、継続的且つ効果的に運用することにコミットする。
4.11 申請者及び弊社は、予備審査の実施に関して合意し、そのような審査の範囲を共に決定することができる。
4.12 申請組織での現地審査実施期間中、組織が文書化された手順を適用し、運用していることを示す中で、構築されたマネジメントシステムの有効性が検証されなくてはならない。申請組織による是正処置を必要とする、規格又は規格要求に適合していない事項は、不適合報告書に文書化されなくてはならない。
4.13 審査終了後、審査結果は、クロージングミーティング(最終会議)において申請者へ伝えられ、その後審査報告書に文書化される。不適合は文書化され、結果により、必要とされる場合には再審
査(即ち、再現地審査)又は改訂文書の提出を求められる場合がある。再審査の範囲はxx審査員によって決定される。再審査は、不適合がみとめられた規格要求事項のみに着目するものとなる。規格に対する適合を、審査終了から認証判断の間に立証できない場合、認証は認められない。
4.14 認証書とは、下記に示す全ての規定承認を指す。例:公的な記録、有効期間の表明、及び狭義における認証書。 認証とは、評価、審査、妥当性の確認及び認証プロセス全てを指す。その結果をベースとし、認証の判断(付与、拒否、維持、適用範囲の拡張又は縮小、更新、一時停止又は一時停止からの回復、又は取り消し)がなされる。
認証文書のレビューを良好に終えた後、弊社は認証書を発行する。 認証書は申請者に送られる。認証書は、全ての不適合の処置が契約者より承認された場合にのみ発行される。認証書は定められた期間に対して発行される。
4.15 認証書の効力を維持するために、該当規格によっては、現地サーベイランス審査を実施しなくてはならない。認証書の維持への積極的な判断を含め、認証機関によりサーベイランス手続きが完了 しなかった場合、認証書は無効とされなくてはならない。この場合、認証書の写し全てを認証機関に返却しなくてはならない。
4.16 サーベイランス審査においては、最低限要求事項として、主要な規格要求事項が検証されなくてはならない。加えて、サーベイランス審査では、認証書の適切な使用(及び、必要であれば認証マーク)、マネジメントシステムに関する苦情、不適合に対してなされた是正処置の有効性について、評価されなくてはならない。各サーベイランス審査は、申請者へ提出する報告書として文書化されなくてはならない。
4.17 地理的(例:支店の追加)及び技術的(例:製品の追加)範囲は拡張/縮小、及び/又は、サーベイランス、又は再認証審査 の範囲内でさらなる規格を含むための認証アップグレード、及び/又は、単独の拡張、又はアップグレード審査とすることができる。 拡張、又はアップグレード審査のために必要な審査員工数は、拡張又はアップグレードの範囲によるものとし、申請組織により、審 査に先立ち、その範囲が明確に伝えられなくてはならない。
4.18 契約期間中に、手続きのベースとなる部分に(例:申請組織の詳細、認定要求事項など)変更がある場合、手続きにおいて、それら変更点は適切に考慮され、他の契約当事者に遅滞なく通知されなくてはならない。そのような変更によって生じる、認証に関する審査工数のいかなる変更も、同様の扱いとする。
4.19 複数の規格、及び要求事項に亘る統合マネジメントシステムの認証は複合認証手順に基づき認証することができる。 規格や要求事項によっては、複合認証は個々に提供されることになる。
4.20 予定されていない審査、又は再審査、及び前回の審査において明らかとなった不適合を取り除くための是正処置に対する検証に
より生じた追加的な作業にかかる費用は、申請者が負担するものとし、発生ベースで請求するものとする。 「認証に関する特別業務契約条件」の 1.4 項に おいて規定される、短期予告の特別審査のために発生した費用も、同様の扱いとする。
5. 守秘義務
5.1 本合意の目的のために、「機密情報」には、一方の当事者が
(「開示者」)が他方の当事者(「受領者」)に対して提示、送付又はそれ以外の方法で開示する全ての情報、文書、画像、図面、手法、データ、サンプル及びプロジェクト文書が含まれる。機密情報には、そのような情報のハードコピー又は電子コピーも含まれる。
5.2 開示者は受領者へ交付する前に、書面形式で開示される機密情報の全てに、機密であると記さなくてはならない。E メールで送られた機密情報も同様の扱いとする。機密情報が口頭で開示される場合には、受領者には、前もって、適切に伝えられなくてはならない。
5.3 開示者が交付し、又はそれ以外の方法で、受領者に開示される機密情報全ては、
a) 開示者と、書面により明確に合意された場合以外は、受領者により、上記に定められた目的のためだけに、使用されなければならない;
b) 受領者が、コピー、配布、出版又はその他の方法で、開示してはならない。認定手順の範囲内において、監督機関、及び/又は認定機関へ交付しなければならない機密情報については、上記規定への適用が免除されるものとする;
c) 受領者が、自己の機密情報を保護するための注意義務と同等の注意義務で、しかしながら、客観的に必要とされる適切な注意義務(❹良な管理者の注意義務)を下回ることなく、取り扱わなくてはならない。
5.4 受領者は、本契約に関し必要な業務を実施するために、当該情報を必要とする受領者の従業員以外には、開示者から受領した機密情報を開示してはならない。受領者は、本守秘義務条項に規定される義務と同等の守秘義務を、その従業員に対して課す義務を負うものとする。
5.5 受領者が、以下の証拠を提供することが出来る情報は、本合意において定義される機密情報とはみなさない。
a) 本合意の違反でなく、開示の際には、一般的に知られていた、又は一般的な知見となっていた、又は、
b) この情報を開示する権限を持つ第三者より、受領者に開示された、又は、
c) 開示者により開示されるに以前に、既に受領者がこの情報を保持していた、又は、
d) 開示者による開示と関わりなく、受領者が独自で開発した。
5.6 機密情報は、全て開示者の所有物として帰属する。受領者は、本業務条件によって、(i)全ての写しを含む、全ての機密情報を開示者へ、及び/又は開示者の要求により、遅滞なく返却する、 (ii)全ての写しを含む、全ての機密情報を破壊し、 契約の終了、又は満了後、遅くとも開示者がそのように要求した場合にはいつでも、特別な要求なしで、書面にて開示者へ、その機密情報が破壊されたことを明確にすることに同意する。本契約義務の実施 において、弊社が、申請者に対して独占的に作成し、申請者によ り保持される報告書及び認証書の全ては上記から除外される。弊社は、出した結論が正しいという証拠を示すため、及び一般的な文書化の目的を果たすための、報告書、認証書及び、根拠となる機密情報の写しを保持する権利を有する。
5.7 本契約の開始から、本契約の終了又は満了後 5 年間、受領者は、全ての機密情報について厳格な秘密保持を維持しなくてはならない、及びいかなる第三者への開示をしてはならず、又はそれ自身で使用してはならない。
6. 契約の終了及び解除
6.1 契約当事者双方は、合意した契約期間において、6 ヶ月経過をもって、本契約を終了することができる。
6.2 弊社は、重要な事由がある場合、通知なくこの認証契約を終了することができる。
6.3 本契約の目的に関し、弊社の「重要な事由」とは、下記に定義されるものとする。
a) 申請者が、認証の対象となる組織に関するいかなる変更、又は変更の兆候を、遅滞なく弊社に通知しない、
b) 申請者が、認証書、認証マーク及び/又は審査報告書の誤用をする、又は契約に反してそれらを使用する、
c) 申請者資産に関して、破産手続きが開始される、又は、そのような破産手続きの申請が資産の不足により却下される。
6.4 前項に加えて、申請者が認証手続きに適用される審査/ 業務の提供のために計画された期間に従うことができない、及びその結果として、認証の取り消しが必要とされた場合、弊社は、通知なく契約を解除する権限を持つ(例:サーベイランス審査の実施)。
7. 認証組織一覧
7.1 TÜV Rheinland Japan Ltd. は、下記に示す情報を含む、認証保持者のディレクトリを保持する義務を負う:認証書保持者名、適用規格文書、有効適用範囲、地理的情報(複数サイトに対して:有効適用範囲内の本社及び各サイトの地理的情報)。
7.2 3.16 項に基づく認証の一時停止、及び 3.9 項 及び 3.17
項における認証の取り消しはディレクトリ情報に含まれる。
7.3 TÜV Rheinland Japan Ltd.は、7.1 項に定められるディレクトリを、要求に従い、一般に提供することができる。
8. TÜV Rheinland Japan Ltd.の契約締結権テュフ ラインランド ジャパン株式会社
所在地:横浜市港北区新横浜 3-19-5 新横浜第二センタービル
は、随時これら認証業務条件を適用した認証契約を結ぶ権利を持つ。
9. 認証書の差し替え
9.1 1 ヶ月の通知期間をもって、弊社は、差し替えによって認証範囲変更が生じないことを条件として、認証書に記載された認定認証機関が変更となる場合、いつでも新たな認証書(差し替え認証書)を、既に発行された認証書と差し替える権限を持つ。
9.2 差し替えの際には、申請者は 9.1 項の規定に従い、遅滞なく差し替えられるよう、認証書を弊社に返却する義務を負う。
10. 苦情
10.1 苦情は、書面にて弊社に提示されなければならない。
10.2 苦情の正当性が認められた場合、弊社は適切な処置を講じる。
10.3 苦情が、弊社の見解において、支持できないと証明された場合、苦情申し立て者にこれを伝え、さらに 30 日以内にそれに対するコメントを求めるものとする。 苦情に対し、友好的な解決に到達できない場合、両者は相互に仲裁手続きに進む合意をすることができる。それがだめな場合は、訴訟手続きに入ることとなる。
II. 認定分野における認証に関する特別業務条件
ここに記載される規則は、認証に関する一般業務条件を補充するものであり、認定分野における認証、例えば、国別規格、国際規格、又は基準に対して認定、承認又は認証を受けた業務に限って適用する
(「認定分野における認証」という)。 この特別業務条件のなかで、
「認定機関」という用語は、 承認機関ないし認可機関を含み、また、
「認定規則」、 「認定要求事項」及び「認定手順」という用語は、これ らの 機関の手順としてもまた準用される。 認定分野における認証には、一般的で有効な国際認定規格、それに加えて関連するガイドライン、及び各認定機関により定められた認定規則が適用される。特に下記のものを含む:
- 一般的に有効な国際認定規格 例: ISO/IEC17201 、
ISO19011、ISO/IEC17065
- 関連認証規格に対する特定の認定規格 例:食品産業に対する ISO 22003、又は IT に対する ISO 27006、航空機分野における EN9104-001、EN9101
- ISO 9001、ISO 14001、IATF 16949、BS OHSAS 18001/ ISO 45001、SCC、ISO 50001、ISO/IEC 27001
- 各認定機関により定められた認定規則
認証規格 | 認定規格等 |
ISO/IEC 27001 | ISO/IEC 27006 IAF MDs |
-認定ルールは、個々の認定機関により定められる。
1 認定分野における認証に関する一般業務条件
1.1 初回認証審査
1.1.1 初回認証審査は、2 つのステージからなる。ステージ 1 は、マネジメントシステム、及びその成熟度(運用の状況)の概要を得ることを目的とする。この情報が得られた後、マネジメントシステムの構築及び要求事項への適合性を審査するためのステージ 2 審査を実施することができる。
1.1.2 ステージ 2 審査は、ステージ 1 審査終了後ただちに実 施することができる。しかしながら、ステージ 1 審査において、組織の認証のための準備がまだ整っていないこ
とが明らかとなった場合には、ステージ 2 審査はステージ 1 審査完了後ただちに行うことはできない。この場合、
申請者はまず、組織が、認証を受けるための準備を整えるため、適切な処置を講じなくてはならない。そのことにより、申請者、又は弊社に生じる、移動費用、 移動
拘束費及び損失時間などの追加費用はいかなるものであっても、申請者が負担するものとする。
1.1.3 ステージ 1 審査及びステージ 2 審査の間隔は、6 ヶ月を 超えてはならない。この間隔が、6 ヶ月以上経過した場合には、ステージ 1審査を、もう一度実施しなくてはならない。そのことにより、申請者又は弊社に対し生じる、移動費用、移動拘束費及び損失時間などの追加費用はいかなるものであっても、申請者が負担するものとする。
1.1.4 ステージ 1 とステージ 2 審査の間隔を決定する際は、申請者の要求事項、及び不具合の是正に対する十分な時間の両方を考慮しなくてはならない。一般的に、審査時間の多くがステージ2 審査に費やされる。
1.1.5 ステージ 2 審査最終日から、6 ヶ月以内に、いかなる不適合に対する修正及び是正処置の実施を、弊社が確認することができない場合、弊社は、認証推薦に先立ち、別にステージ 2 審査を実施しなくてはならない。
1.2 サーベイランス審査
1.2.1 認証書の効力を維持するために、現地サーベイランス審査を少なくとも、毎年実施しなくてはならない。審査 期限日は、初回認証審査の最終日をその日とする。認証審査後の第一回サーベイランス審査は、審査期限日より前に計画され、認証審査判定後 12 ヶ月が経過する前に実施されなくてはならない。
1.3 再認証審査
1.3.1 認証をさらに 3 年間更新するために、認証書の有効期間の満了に先立ち、再認証審査が、申請組織に対して実施されなくてはならない。
1.3.2 手順は、認証審査の手順と同様のものとなる。 ただし、ステージ 1 審査の必要性及び認証範囲は、申請者のマネジメントシステム、申請者の組織又は申請者が運用するマネジメントシステムの状況における変更に応じて決定される。
1.3.3 再認証審査が成功裏に完了した場合、認証は新たに 3 年間延長される。この新しい周期は前の周期の期限日から始まる。再認証審査及びその決定は認証期限までに完了しなければならない。
1.4 短期通知又は非通知での審査
次のような場合には、短期間での通知又は非通知で特別な審査が必要となる可能性がある:
- 申請者の認証されたマネジメントシステムの有効性に疑念を抱かせるような深刻な苦情、及びその他の認証機関が
認知した状況が発生し、書面形式では、又は計画された次の審査において、取り除くことのできない場合(例:申請者、又は申請者の幹部の法律違反が申し立てられた場合)。
- 申請者によりなされた変更が、もはや規格の要求事項に適合することができないほどマネジメントシステムの有効性を損なっている。
- 申請者の認証一時停止の結果として。
1.5 マルチサイト認証
1.5.1 複数事業所を持つ、又は現地事務所としてのみ機能する支店を持つ組織には、マルチサイト認証を適用することができる。法人という意味において、相互関連がなく、及び、マネジメントシステムを開発、運用、維持するにあたり、他の非グループ企業、又は外部組織を利用する個人の集まり、独立、自立している企業又は組 織 は、 IAF MD1 ( IAF = International Accreditation Forum, MD=Mandatory Document)において意味するマルチサイト組織を成さず、それ故にグループとして認証することはできない。
1.5.2 マルチサイト認証は、下記の基準を満たす場合に可能となる:
・ 全てのサイトが、組織の本社と法律上、又は契約上の関係を維持している。
・ 製品/サービスが全ての事業所において、基本的に同一であり、かつ、同一の手法、プロセスで生産されている。
・ 全ての支店、製造拠点において、同一のマネジメントシステムが確立され、維持されている。
・ マネジメントシステム適用範囲全体に対し、組織の中心的役割を果たす事務所の管理者責任者の監督の下で、xx監視され、マネジメントシステム関連の指示がなされる。
・ 内部監査及びマネジメントレビューが、全ての支店拠点において、実施されている。
・ 製品及び工程設計・開発、購買、人事(HR)といった集約的活動を特定の事業所が、全ての支社/製造拠点に代わり実施している。
1.5.3 マルチサイト認証に関して、事業所の現地審査は、認証審査及びサーベイランス審査に渡り、振り分けることができる。 サンプリングした事業所と共に、本社は毎年審査を受けなくてはならない。
1.5.4 弊社が審査する事業所を決定するものとする。
2. 認定分野における認証に関する特別業務条件(各規格に固有の条件)
上記の認定分野における認証に関する共通業務条件のほか、下記に挙げる各規格固有の業務条件も適用する。 第 1 項に示される一般業務条件に加え、遵守しなくてはならない認定
分野における認証に適用される業務条件は、固有の規格毎個別に下記に示すものとする。
2.1 ISO/IEC 27001 に基づく ISMS 補充条件
1.5 項で定められたマルチサイト認証に対する要求事項を補うことで、下記の補充条件が、ISO/IEC27001 に基づく情報セキュリティマネジメントシステム認証(ISMS)に適用される:
2.1.1 類似する複数サイトを維持しており、全てのサイトにわたる要求事項を含む ISMS を確立した組織にはマルチサイト認証を実施することができる。
下記の基準を満たした場合、組織及びそのサイトに適用する認証書を発行することができる:
a) 同じ ISMS を全てのサイトが維持しており、管理及び監視が中央機能によってなされ、内部監査やマネジメントレビューを必要とする。
b) 組織の審査、及びマネジメントレビュー計画において、全てのサイトが含まれている。
c) 初回契約確認において、個々のサイト間の違いが、サンプルを選択する際に適切に考慮されていることを確実にしている。
d) 認証機関は、下記の側面を考慮しながら、代表的サンプルとなるサイトを選択した。
- 本社、及びサイトで実施された内部監査の結果
- マネジメントレビューの結果
- サイトの規模の違い
- サイトの事業目的の違い
- ISMS 複雑性のレベル
- 各サイトの情報システムの複雑性
- 業務の種類の違い
- 実施している活動の違い
- 重要な情報システム、又は注意を要するデータを処理する情報システムとの考えられる相互作用
- 法令要求事項の違い
e) 代表となるサンプルは、申請者の ISMS の範囲において含まれる全てのサイトを 検討の対象にしている;サンプルに含まれ るサイトは、上記 d) に基づいて一覧となった基準とすべき側面をベースとして、選択される。その方法はランダムサンプリングによる。
f) 認証に先立ち、著しいリスクに関係する全てのサイトが審査されなくてはならない。
g) サーベイランス審査により、妥当な時間枠で全てのサイトを審査することを確実にするものとする。
h) あるサイトで実施された是正処置は、認証の範囲に含まれるマルチサイト全体に適用することができる。
以上